标签: Windows

Windows 10 Version 2004 新 BUG:重复报告安全警报

上月发布的 Windows 10 May 2020(20H1/Version 2004)功能更新在安全方面引入了诸多改进,其中就包括阻止潜在不必要程序(PUP/PUA)的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈,即使在 PUP 应用程序被清理之后,Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后,Windows Security 在随后的扫描中依然会检测到旧项目,造成错误的检测循环。 一位用户指出:“我在进行常规扫描时,发现这些威胁被高亮显示为低级,而且 Defender 无法删除它们,导致一直显示。我同样使用了 Malwarebytes 进行扫描,但这边并没有显示出来。” 看来,Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后,Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题,你需要通过以下步骤删除PUPs历史信息: 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中,删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     (稿源:cnBeta,封面源自网络。)  

Windows 10 20H1 谜之 BUG:1 月已修复的磁盘优化问题在正式版中又出现

在昨日的补丁星期二活动日中,微软宣布扩大 Windows 10 May 2020(20H1/Version 2004)的部署范围,邀请更多用户通过手动检查 Windows Update 更新的方式获得升级。尽管升级过程非常流畅,但是部分用户反馈在升级后导致优化存储的内置工具无法正常工作。 根据用户的反馈和外媒的复现测试,升级 Windows 10 Version 2004 功能更新会导致“磁盘优化”和“碎片整理和磁盘优化”工具出现问题。 磁盘优化是 Windows 10 系统内置的工具,允许用户对碎片文件进行碎片整理并解决性能问题。默认情况下,Windows 10每周都会自动对所有分区进行维护,你可以在 “优化驱动器 “工具中查看状态。 在升级 Windows 10 Version 2004 功能更新之后,磁盘优化工具虽然可以帮助用户解决性能问题,但不能报告正确的状态。 例如,磁盘优化工具会报告说并未在你的 PC 上运行扫描,在已经执行优化操作之后依然显示需要优化。这对于想要检查驱动器健康状况的管理员来说是个大问题,因为你无法发现你的驱动器是否经过优化。 但需要注意的是,这款工具的功能并没有损坏。,它仍然可以帮助用户自动或手动修复Windows性能问题。你可以通过以下步骤来验证优化/碎片和TRIM的状态。 1.打开 “开始 “菜单。 2.输入 “事件查看器 “并打开它。 3.在 “事件查看器 “中,导航到Windows日志>应用程序。 4.右键单击应用程序并单击 “过滤当前日志”。 5.在事件源下拉菜单中选择Defrag。 6.单击 “确定”。 中间的窗格会显示一个事件列表,点击它们会在预览窗格中显示详细信息。值得注意的是,作为Windows Insider计划的一部分,该bug已经被报告给微软,有用户要求公司不要运送带有该bug的更新。 事实上,这个 BUG 曾经在今年一月发布的 Windows 10 Build 19551 更新中已经得到了修复,但是尚不清楚为何会进入到稳定版本中。微软在2020年1月23日的一篇博文中指出:“感谢您报告了磁盘优化控制面板错误地显示优化没有进行的错误提醒。我们已经在这个Build版本中修复了它。”     (稿源:cnBeta,封面源自网络。)

科学家发现 26 个 USB 漏洞:Linux 18个 Windows 4 个

近日多名学术界人士表示,在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领,所有漏洞都是通过他们创建的新工具USBFuzz发现的。 这类工具被团队成员称之为“模糊器”(fuzzer)。模糊器是多款应用程序的集合,能够帮助安全研究人员将大量无效、意外或者随机数据输入其他应用程序。然后,安全研究人员分析被测试软件的行为方式,以发现新的bug,其中一些可能被恶意利用。 为了测试USB驱动,Peng和Payer共同开发了USBFuzz,这是一种专门用于测试现代操作系统的USB驱动堆栈的新型模糊器。研究人员表示:“其核心部分,USBFuzz使用软件仿真的USB设备来向驱动程序提供随机的设备数据(当他们执行IO操作时)。” 团队表示:“由于仿真的USB设备是在设备层面工作的,因此将其移植到其他平台上是很直接的。”这使得研究团队不仅可以在Linux上测试USBFuzz,还可以在其他操作系统上进行测试。 研究人员表示,他们在以下平台上测试了USBFuzz。 ● Linux内核的9个最新版本:v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2(评估时的最新版本)。 ● FreeBSD 12 (最新版本) ● MacOS 10.15 Catalina(最新版本) ● Windows(8和10版本,并安装了最新的安全更新) 在测试之后,研究团队表示,在USBFuzz的帮助下,他们一共发现了26个新的bug。 研究人员在FreeBSD中发现了一个bug,在MacOS中发现了三个(两个导致计划外重启,一个导致系统冻结),在Windows 8和Windows 10中发现了四个(导致死亡蓝屏)。 最严重的是针对Linux的,总共有18个。其中16个是针对Linux各个子系统(USB core, USB sound和net-work)的高危内存漏洞,此外还有1个是针对Linux的USB host主控驱动,还有一个是USB摄像头驱动。 Peng和Payer表示,他们向Linux内核团队报告了这些bug,并提出了补丁建议,以减轻 “内核开发人员在修复报告的漏洞时的负担”。 研究团队表示,在这18个Linux漏洞中,有11个自去年首次报告以来,他们收到了补丁。在这11个bug中,有10个还收到了CVE,这是一个被分配给重大安全漏洞的唯一代码。 相关论文《USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation》,可以访问这里 和 这里。     (稿源:cnBeta,封面源自网络。)

警惕某黑产团伙针对 Windows/Linux 双平台的批量抓鸡行动,已有上千台服务器失陷

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/zFW8Niekso7uVCyOjoMn2w 一、概述 近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷,包括2个针对Linux系统的DDoS僵尸网络木马billgates及一个针对windows系统的后门窃密木马。 攻击载荷服务器 该黑产团伙的主要特点: 1.针对windows/Linux双平台的攻击载荷都是通过生成器生成,可配置上线地址,自动化、专业化程度高。 2.入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破,包括3306/1433端口(mysql/sqlServer默认端口)、3389端口(远程桌面)、SSH爆破等等。 3.通过一键免杀工具进行免杀,通过代理频繁更换服务器IP躲避追踪,频繁更换HFS服务器上的文件,使点击量重新计数等方式躲避追踪查杀。 4.攻击载荷针对Linux系统的是DDoS僵尸网络木马billgates,针对windows系统的为后门窃密类木马。 该黑产团伙从四月份开始活跃,目前已有上千台主机失陷,失陷主机分布在全国各地,排名前三的省份为浙江、江苏、广东。 受该团伙攻击失陷的服务器分布 二、黑客攻击工具包分析 腾讯安全威胁情报中心的检测数据显示,攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪,用了代理工具频繁修改IP地址,所使用的域名xnsj.f3322.net近期被解析指向的多个IP,实际上也是同一台机器设备: 我们在这台HFS服务器上发现多个黑客工具包,包括3389抓鸡工具包、 红尘网安1433工具包,Linux爆破工具、3306抓鸡、SA弱口令、1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。 部分黑客工具包及说明: 黑客工具包对应的功能 3389抓鸡工具包为远程桌面爆破工具,内置了爆破密码字典: 红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破: DDoS压力测试工具 三、Billgates僵尸网络木马分析 该团伙针对攻陷的Linux服务器会安装Billgate僵尸网络木马,Billgates僵尸网络最早出现在2014年,是最为活跃的僵尸网络家族之一,曾多次被安全厂商披露,在本案例中Billgates bot通过生成器生成,可配置ip/域名及端口。 Billgates bot生成器 持久化配置 Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本。 DbSecuritySpt及在rc.d多个目录创建了自启动项 创建的自启动项: DDoS攻击 在函数MainProcess中完成主要的DDoS攻击功能,包括Tcp/Udp/Syn洪水攻击,DNS反射攻击等。 完整的攻击类型如下: MainProcess函数DDoS功能: 四、针对Windows平台的后门分析 该黑产团伙投放的Windows平台后门木马,也是通过生成器生成,可配置C2上线地址,监听端口,及标识码。 此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。 有后门类木马的几乎所有功能,包括键盘记录嗅探,文件下载、上传、执行,执行CMD命令等等。 目前其C2地址为116.207.21.252|xnsj.f3322.net:1999 功能函数: 五、安全建议 1.针对Linux平台的排查:可通过排除相关启动项查看是否中招,如果有包含 /etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招,建议网管及时清除。 2.推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)查杀该团伙安装的Windows系统后门木马;   3.建议网管使用高强度密码,并经常更换,避免遭遇爆破入侵。推荐企业用户部署适当的腾讯安全完整解决方案提升系统安全性。 IOCs: MD5: 488d0393825b9d4aeebd30e236020d78 e133a6078a38e983c1a7a3fb14670c63 fe642d12ef1f884395a3bfd501949ebf b21f8aa2d18cb64b779161d475b68209 7145110d75992a0f0ab2332293fb73ab b4caaea9a5621a595d051da143b40015 935c5a016862605b9d62564c3acdb2aa 544344fb1410184109f85e6343bf0e15 4363993917d8386de4a4d07b4a1f70de 49ec29cab36ccf726c8c25f7aca6875c be89d31b7d876bc6058bd8e64f88c9e1 IP 116.207.21.252 111.176.102.38 116.207.16.45 111.176.101.97 域名: xnsj.f3322.net

三月补丁导致 Windows 10 安全软件漏过部分文件的扫描

近日的反病毒软件测试结果表明,Windows 10 操作系统预装的 Windows Defender,已能够与业内领先的第三方安全供应商相当。尴尬的是,如果你的系统已经打上了三月的补丁,那它很可能漏过对某些文件的扫描。外媒 BornCity 报道称,微软在 3 月的“补丁星期二”那天发布了面向 Windows 和其它产品的安全更新。   用户汇报称,无论是选择快速或完整扫描,Windows Defender 都有可能在期间跳过对某些文件的检查,就像是在配置文件中已经将之列入了排除项一样。 与此同时,行动中心也会在遇到该问题时,向用户推送一条错误消息。其写道:“由于排除或网络扫描设置的原因,扫描期间跳过了某个项目”。 有些人可能觉得这与 Windows Defender 的特定版本有关,且能够通过与 Windows 10 系统拆分的升级措施来避免。 然而现在的情况是,无论你用的是哪个版本的 Windows Defender 反病毒软件客户端,它都会在打上三月补丁后遇到这个问题。 外媒 Softpedia 在运行 Windows 10 1909 的设备上尝试了最新的客户端和病毒定义,结果也在执行快速或完整扫描时重现了这个故障。 尽管没有设置任何排除项,但扫描结束后,还是在 Windows 10 的行动中心里看到了跳过某些文件扫描的错误通知。 截止发稿时,微软似乎尚未意识到这个问题。目前暂不清楚这是个例还是普遍现象,以及到底有多少设备受到了影响。 对于用户来说,或许可以尝试其它方法来确保安全,或等到微软在 4 月 14 日发布下一批安全更新时再修复。   (稿源:cnBeta,封面源自网络。)

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

微软已经确认,在 Windows 10 操作系统的最新版本中,存在着一个 SMBv3 网络文件共享协议漏洞。该协议允许计算机上的应用程序读取文件,以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用,在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称:该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是,目前尚无漏洞被利用的报告。 据悉,未经身份验证的攻击者,可将特制数据包发送到目标 SMBv3 服务器。得逞之前,攻击者需配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。 需要注意的是,在宣布漏洞的同一天,微软并未在“星期二补丁”中修复这一缺陷。有鉴于此,该公司建议 IT 管理人员禁用 SMBv3 压缩功能,以防止攻击者借此发起攻击。 至于更多替代方法,亦可查阅微软门户网站(ADV200005)提供的详细信息。如果一切顺利,其有望在下月的“补丁星期二”那天得到正式修复。 如有需要,还可订阅微软的安全通知服务,以及时知晓后续进展。   (稿源:cnBeta,封面源自网络。)

因严重 IE 漏洞 微软再为已停止支持的 Windows 7 发布安全更新

Windows 7和IE浏览器都已经于上月停止支持,但由于最新曝光的严重IE漏洞微软决定再次为Windows 7系统提供安全补丁。在发现了一个被黑客广泛使用的JavaScript引擎漏洞之后,微软决定为所有IE 9之前的旧版浏览器提供安全更新。 CVE-2020-0674公告中写道: 这个远程代码执行漏洞存在于IE浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。 如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。 在网络攻击情境中,攻击者可能会制作专门利用该IE漏洞的特制网站,然后诱使用户查看该网站。攻击者能够访问托管在IE渲染引擎上的应用或者微软Office办公文档中嵌入标记为“初始化安全”的ActiveX控件。攻击者还可能利用受感染的网站,接受或托管用户提供的内容或广告。这些网站可能包含可以利用此漏洞的特制内容。 该漏洞利用可以通过任何可承载HTML的应用程序(例如文档或PDF)来触发,并且在Windows 7、8.1和10上具有“严重”等级,并且目前正被黑客广泛使用。 Microsoft将发布针对所有这些操作系统以及Windows Server 2008、2012和2019的补丁程序。   (稿源:cnBeta,封面源自网络。)

卡巴斯基:Windows 10 升级漏洞并非由公司杀毒工具引起

据外媒报道,微软在发现导致安装失败或安装成功出现某些功能崩溃的问题后取消了Windows 10的安全更新。据了解,这个KB4524244原本是为了解决在卡巴斯基救援盘(Rescue Disk)中发现的一个安全漏洞而推出的。该安全漏洞则是在去年4月被公开的。 尽管卡巴斯基自己在8月份解决了这个问题,但为了保护运行旧版本软件的用户微软还是决定开发额外的补丁。 卡巴斯基表示,升级所导致的问题跟他们的软件无关,因为在KB4524244安装在Windows 10上之后他们已经进行了彻底的检查从而确保跟他们的救援盘工具之间不存在兼容性问题。 “微软还没有就更新问题联系卡巴斯基。经过详细的内部分析,我们的专家得出结论,卡巴斯基的产品不是引发这个问题的原因,”卡巴斯基说道。 另外,卡巴斯基表示,如果更新安装正确且没有遇到任何问题,那么用户就不需方采取任何行动。 微软表示,此次更新不会再发布,但针对已经发现的漏洞他们正在修复中。   (稿源:cnBeta,封面源自网络。)

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

微软再次向 Windows 10 用户提供了错误的更新

十月份我们曾报道过,微软向所有Windows 10用户发布了一个Autopilot设备更新补丁,随后在公司意识到自己的错误后撤消了更新。而今天,微软再次重复了同样的错误,他们于12月10日在星期二的补丁更新中向所有用户推出了另一个Windows 10 Autopilot更新“KB4532441”。 访问微软中国官方商城 – Windows 用户在论坛上报告说,此更新已发布到 Windows 10的消费者版本。当用户检查更新时,会立即显示此更新,并且即使成功安装后也会反复提供。 微软已经确认该错误,并且发布撤消了该更新的消息: 此更新可通过Windows Update获得。但是,我们删除了它,因为它的提供方式不正确。当组织为Windows Autopilot部署注册或配置设备时,设备安装程序会自动将Windows Autopilot更新到最新版本。而对正常Windows 10设备提供的Windows Autopilot更新实际上是无效的。如果系统为您提供了此更新并且当前设备并没有部署Autopilot的前提下,则安装此更新不会有影响,换句话说,Windows Autopilot更新不应提供给Windows 10 的消费者版本。 尽管微软表示此更新不会对用户PC产生负面影响,但是您依然可以选择卸载该补丁。 (稿源:cnBeta,封面源自网络。)